Benutzer haben die Möglichkeit, einfache und erweiterte Suchvorgänge auszuführen.
Eine Basissuche wird für alle Ereignisfelder in Tabelle 4-1 ausgeführt. Zu einigen Grundsuchen gehört Folgendes:
Root
127.0.0.1
Sperren*
driverset0
HINWEIS:Falls die Zeit zwischen dem Endbenutzer-Computer und dem Identity Audit-Server nicht synchronisiert ist (die Zeiteinstellung des einen Computers geht beispielsweise 25 Minuten nach), erhalten Sie unter Umständen unerwartete Suchergebnisse. Suchen wie
oder basieren auf der Zeiteinstellung des Endbenutzer-Computers.Klicken Sie links auf den Link
.Identity Audit ist so konfiguriert, dass beim ersten Klicken des Benutzers auf den Link
eine Standardsuche für Nicht-Systemereignisse mit einem Schweregrad von 3 bis 5 ausgeführt wird. Anderenfalls wird standardmäßig nach dem letzten vom Benutzer eingegebenen Suchbegriff gesucht.Geben Sie für einen anderen Suchtyp einen Suchbegriff in das Suchfeld ein, z. B. Admin). Die Suche unterscheidet nicht zwischen Groß- und Kleinschreibung.
Wählen Sie einen Zeitabschnitt aus, in dem die Suche durchgeführt werden soll. Die meisten Zeiteinstellungen sind selbsterklärend; standardmäßig ist
festgelegt.Mithilfe der Option
können Sie für eine Abfrage ein Start- und ein Enddatum sowie eine Uhrzeit auswählen. Das Anfangsdatum muss vor dem Enddatum liegen und die Zeit is based.Mithilfe der Option
werden alle Daten in der Datenbank durchsucht.Wählen Sie
, um Ereignisse einzubeziehen, die durch Systemoperationen von Identity Audit generiert wurden.Mit der Option
können Sie die Daten beginnend mit dem zuletzt aufgetretenen Ereignis sortieren.HINWEIS:Das Sortieren nach Zeit dauert länger als das Sortieren nach Relevanz, welches die Standardeinstellung ist.
Klicken Sie auf
.Alle Felder im Index werden nach dem entsprechenden Text durchsucht. Ein sich drehendes Symbol gibt an, dass die Suche ausgeführt wird.
Die Ereigniszusammenfassungen werden angezeigt.
Bei einer erweiterten Suche wird nach einem Wert in mindestens einem bestimmten Ereignisfeld gesucht. Die Kriterien der erweiterten Suche basieren auf den Kurznamen der einzelnen Ereignisfelder sowie der Suchlogik für den Index. In der folgenden Tabelle werden die Felder beschrieben, die Kurznamen für die erweiterte Suche genannt und es wird angegeben, ob die Felder in der Basisansicht bzw. der Detailansicht für Ereignisse angezeigt werden.
Verwenden Sie für die Suche nach einem Wert in einem bestimmten Feld den Kurznamen des Feldes (weitere Informationen siehe Tabelle 4-1), einen Punkt und den Wert. Um beispielsweise nach einem Authentifizierungsversuch von Benutzer2 zu suchen, geben Sie den folgenden Text in das Suchfeld ein:
evt:authentication AND sun:user2
pn:NMAS AND sev:5
sip:123.45.67.89 AND evt:“Set Password”
Mehrere erweiterte Suchkriterien können mithilfe der folgenden Booleschen Operatoren kombiniert werden:
UND (Großschreibung beachten)
ODER (Großschreibung beachten)
NICHT (Großschreibung beachten; kann nicht als einziges Suchkriterium verwendet werden)
+
-
Sonderzeichen müssen durch das Symbol \ ersetzt werden:
+ - && || ! ( ) { } [ ] ^ " ~ * ? : \
Die erweiterten Suchkriterien sind den Suchkriterien für das Open Source-Paket Apache Lucene nachgebildet. Weitere Details zu den Suchkriterien finden Sie im Internet unter Lucene Query Parser Syntax.